Последен ъпдейт на 28 юни 2018 в 11:27 ч.
Специалистите от Symantec са намерили доказателства, че атакуващите са търсили достъп до информационни системи, които управляват и наблюдават сателити. Също така са засечени атаки и опити към специализираните софтуерни пакети, които са част от подсистемите в сателитната инфраструктура. Интересното в случая е, че целта не е била само контрол над системите, а и опити за промяна в комуникационните протоколи и съдържанието на предаваната информация към и от потребителите.
„Шпионажът е мотивът на групата, но имайки предвид интереса и към компрометиране на операционните системи, тя може да приеме по-агресивна и разрушителна позиция, ако избере да направи това“, пишат изследователите на Symantec.
Екипът на компанията следи китайската хакерска група от 2013 г., когато за пръв път беше забелязана кампания за шпионаж. Thrip, както Symantec нарече групата, използва предимно персонализирани програми за злонамерен софтуер. В неотдавнашната кампания Thrip предприе стратегически подход в областта на сигурността, наречен „живеещи на земята“, който разчита на легитимни инструменти и функции на операционната система, за да поеме контрола върху мрежите на крайните цели.
Ключовите инструменти, използвани от Thrip, включват:
- PsExec – инструмента Microsoft Sysinternals за управление на свързани с мрежа компютри
- PowerShell – инструмент за скриптове на Microsoft
- WinSCP – FTP клиент с отворен код
- LogMeIn – софтуер за отдалечен достъп.
Групата използва също така и свободния Mimikatz хакерски инструмент.
Средства за ексфилтрация
След като групата намери конкретни машини, които са интересни за целта на атаката, тя инфилтрира и инсталира персонализирания злонамерен софтуер, включващ Trojan.Rikamanu, който е предназначен за ексфилтрация на информация нужна за достъп, както и други чувствителни данни;
Допълнително се инсталира Infostealer.Catchamas – допълнение към Trojan.Rikamanu, което съдържа допълнителни функции за достъп до чувствителни данни, както и Trojan.Mycicil – кийлогър, създаден от ъндърграунд хакери в Китай.
Други цели в същата скорошна кампания на Thrip включват компютри, работещи със софтуера на географската информационна система MapXtreme, който се използва за разработване на персонализирани геопространствени приложения и интегриране на базирани на местоположението данни в друг софтуер. Атаката е насочена и към машини, работещи с Google Earth Server и софтуер за обработка на изображения от Garmin.
Symantec заяви, че първият знак на кампанията е през януари, когато се забелязва подозрителната употреба на PsExec в голям доставчик на телекомуникационни услуги в Югоизточна Азия. Малко след това изследователите откриха, че нападателите използват и инструмента sysinternals, за да инсталират отдалечено неизвестен зловреден софтуер на компютри в мрежата на доставчика.
След по-задълбочен анализ злонамерения софтуер бива идентифициран като актуализирана версия на Trojan.Rikamanu.
Кампанията работи от миналата година.